PASO A PASO

Árbol de decisiones de socios comerciales

Este árbol de decisiones le ayudará a determinar si una entidad es un “socio comercial” y requiere un BAA.

DPH Office of Compliance and Privacy Affairs
1

Paso 1: ¿El proveedor manejará información de salud protegida (PHI) como parte del trabajo?

Esto incluye recibir, acceder, mantener, recopilar o crear información de salud protegida (PHI).

Si no, no se requiere BAA.

Si la respuesta es sí, pase al paso 2.

2

Paso 2: ¿El Departamentos con el que trabaja el proveedor aparece en la lista a continuación?

Entre los departamentos se incluyen DPH, HSS, SFFD, CAT, TTX o DOT.

Si no, no se requiere BAA.

Si la respuesta es sí, pase al paso 3.

3

Paso 3: ¿Se aplica alguna excepción a la HIPAA?

  • El proveedor es un proveedor de atención médica que recibe información de salud protegida únicamente para tratamiento.

O

  • El proveedor es un plan de salud que recibe información de salud protegida únicamente a cambio de un pago.

Si la respuesta es sí, no se requiere BAA.

Si no, vaya al paso 4.

4

Paso 4: ¿El proveedor llevará a cabo alguna actividad regulada por la HIPAA utilizando información de salud protegida (PHI)?

Estas son tareas operativas que la HIPAA regula específicamente, tales como:

  • Procesamiento o administración de reclamaciones
  • Análisis, procesamiento o administración de datos
  • Revisar de la utilización
  • actividades de garantía de calidad o seguridad del paciente
  • Facturación, gestión de beneficios
  • Servicios de gestión de consultorios o de ajuste de precios

Si no, vaya al paso 5.

Si la respuesta es sí, pase al paso 6.

5

Paso 5: ¿El proveedor prestará servicios profesionales o administrativos que utilicen información de salud protegida (PHI)?

Estos son servicios que HIPAA clasifica como funciones de socio comercial, entre los que se incluyen:

  • Legal
  • Actuarial
  • Contabilidad o auditoría
  • Consultante
  • Apoyo administrativo o de gestión
  • Acreditación
  • Servicios financieros

Si no, no se requiere BAA.

Si la respuesta es sí, pase al paso 6.

6

Paso 6: ¿Necesitará el proveedor acceso rutinario o continuo a la información de salud protegida (PHI)?

Algunos ejemplos son el alojamiento en la nube, los proveedores de almacenamiento de registros, los sistemas de intercambio de información sanitaria (HIE), las pasarelas de prescripción electrónica o el mantenimiento de equipos en dispositivos que almacenan información sanitaria protegida (PHI).

Si no, no se requiere BAA.

En caso afirmativo, se requiere BAA.